-1
您好我有以下查詢使用CONCAT:如何在更新查詢
$sql = "update zzz_users set password = "'".$encrypted."' where username = '".$email."'";
CustomQuery($sql);
而我只是不能得到CONCAT正確的,可能有人請告訴我該怎麼辦呢
Q
如何在更新查詢
A
回答
0
正確的查詢是:
$sql = "update zzz_users set password = '" . $encrypted . "' where username = '" . $email . "'";
-1
有一個"password =後太多。在將它寫入數據庫之前,應該先將字符串轉義出來,否則可能會導致SQL注入問題。
$sql = "update zzz_users set password = '" .mysql_real_escape_string($encrypted). "' where username = '" .mysql_real_escape_string($email). "'";
CustomQuery($sql);
+1
Passowrd必須被散列,'_real_escape_string'不是正確的方法(它可能在這個var中被散列,我們不知道)。 'Mysql'擴展名已被棄用。 – panther 2015-02-08 18:33:17
0
這裏還有很多錯誤比沒有獲得連接權。
首先,如果你只是試圖把變量到PHP中的字符串,可以考慮使用雙引號,並直接把變量到字符串:
$sql = "UPDATE `zzz_users` SET `password` = $encrypted WHERE `username` = $email";
沒有必要對所有的起點並在這種情況下停止串。
但是,由於SQL Injection attacks,你在這裏做的事情是非常危險的。您應該肯定不是將變量直接放入您的SQL命令。
這樣做的最好方法是使用知道如何接受格式化字符串併爲您創建安全SQL的庫。例如,像MeerkoDB會讓你寫這SQL說法是這樣的:
DB::query("UPDATE `zzz_users` SET `password`=%s WHERE `username`=%s", $encrypted, $email);
這實際上是安全的,因爲這將確保SQL是正確轉義,防止SQL注入攻擊。當然,你可以推出自己的逃跑遊戲,但使用一個完善的圖書館(有許多免費/開源和商業/專有產品)幾乎總是一個更好的主意。
+0
請閱讀豹的回答和意見。 – VeeeneX 2015-02-08 19:02:16
相關問題
- 1. 更新查詢在更新查詢android.sqlite
- 2. 如何更新從查詢
- 3. 如何更新單查詢
- 4. 如何更新Firebase查詢?
- 5. 如何更新查詢
- 6. PHP的圖像更新查詢,如何更新查詢
- 7. 如何-更新2在一個查詢
- 8. 在更新查詢
- 9. 如何在另一個查詢MySQL上執行更新查詢?
- 10. 如何使用子查詢中刪除/更新查詢在MySQL
- 11. 如何在Access中使用子查詢執行更新查詢?
- 12. 查詢在合併/更新Oracle查詢
- 13. 在更新查詢中選擇查詢
- 14. 更新查詢
- 15. 更新查詢
- 16. 查詢更新
- 17. 更新查詢
- 18. 更新查詢
- 19. 在VB.Net更新查詢不更新
- 20. PHP PDO更新查詢不在選擇查詢內更新
- 21. 從查詢查詢中更新查詢
- 22. 如何更新另一個更新查詢中的新表?
- 23. 在Sqlite中更新查詢
- 24. 在android中更新查詢
- 25. 在sql中更新查詢
- 26. 在asp.net中更新查詢
- 27. 在MYSQL中更新查詢?
- 28. 更新在訪問查詢
- 29. 更新查詢在SQLSERVER 2005
- 30. 再次在更新查詢
無法看到你在哪裏使用concat? – Mihai 2015-02-08 18:25:57